本質(zhì)安全型集中式控制安全操作系統(tǒng)研究

本質(zhì)安全型集中式控制安全操作系統(tǒng)研究本文以嵌入式系統(tǒng)為背景，結(jié)合智能卡技術(shù)和現(xiàn)有一般的平安操作系統(tǒng)討論方法，提出一種全新的平安掌握策略，針對(duì)嵌入式系統(tǒng)應(yīng)用環(huán)境中面臨的問題給出有效解決方法。最終，結(jié)合linux操作系統(tǒng)，給出一種本質(zhì)平安型集中式掌握平安操作系統(tǒng)模型，描述它所具有的平安特性。關(guān)鍵詞：平安操作系統(tǒng)平安模型集中式掌握本質(zhì)平安型強(qiáng)制存取掌握引言操作系統(tǒng)作為底層系統(tǒng)軟件，負(fù)責(zé)為應(yīng)用程序供應(yīng)運(yùn)行環(huán)境和訪問硬件的接口，它的平安性是信息平安的基礎(chǔ)?，F(xiàn)在操作系統(tǒng)面臨的威逼與攻擊多種多樣，平安操作系統(tǒng)已經(jīng)不再局限于僅供應(yīng)平安的存取掌握機(jī)制，還要供應(yīng)平安的網(wǎng)絡(luò)平臺(tái)、平安的信息處理平臺(tái)和平安的進(jìn)程通信支持。在嵌入式系統(tǒng)中，由于系統(tǒng)軟件和硬件設(shè)計(jì)的特點(diǎn)，很簡單從硬件和軟件直接進(jìn)行拷貝。操作系統(tǒng)的平安性應(yīng)有更特別的考慮。操作系統(tǒng)不但要對(duì)保存的數(shù)據(jù)供應(yīng)平安保證，而且還要考慮自己運(yùn)行的硬件平臺(tái)和系統(tǒng)本身的平安性。在現(xiàn)有操作系統(tǒng)中，有關(guān)系統(tǒng)平安掌握的代碼是分散到系統(tǒng)中的，這對(duì)系統(tǒng)性能的影響降到了最低。但是，假如要添加新的掌握機(jī)制，必需會(huì)引起大量的修改，由此將帶來潛在的不穩(wěn)定性和不全都性。隨著系統(tǒng)硬件性能的成倍增長，人們漸漸將目光轉(zhuǎn)移到集中式掌握上來。在操作系統(tǒng)設(shè)計(jì)初期，平安模塊應(yīng)當(dāng)被獨(dú)立地提出來，成為操作系統(tǒng)設(shè)計(jì)需要考慮的一部分。智能卡技術(shù)是一種軟硬件結(jié)合的平安愛護(hù)技術(shù)，常常用于身份驗(yàn)證和存儲(chǔ)加密信息。由于自身的硬件特性，它可以防止非法讀取和篡改；同時(shí)，智能卡本身具有加密的文件系統(tǒng)，可以對(duì)信息進(jìn)行平安的愛護(hù)。在我們討論操作系統(tǒng)平安問題時(shí)，首次將智能卡技術(shù)引用到平安掌握當(dāng)中，作為整個(gè)平安體系結(jié)構(gòu)的保證。智能卡用于對(duì)操作系統(tǒng)本身和運(yùn)行的平臺(tái)進(jìn)行標(biāo)識(shí)，可以對(duì)用戶身份、進(jìn)程的合法性進(jìn)行嚴(yán)格的掌握。1存取掌握和平安模型存取掌握是系統(tǒng)平安的核心內(nèi)容。存取掌握根據(jù)肯定的機(jī)制，在系統(tǒng)主體對(duì)客體進(jìn)行訪問時(shí)，判定訪問懇求和訪問的方式是否合法，返回判定結(jié)果。一般狀況下，有兩種存取掌握方式：自主存取掌握dac（discretionaryaccesscontrol）和強(qiáng)制存取掌握mac（mandatoryaccesscontrol）。（1）自主存取掌握dac是平安操作系統(tǒng)最早期的存取掌握方式，客體的全部者可以將客體的訪問權(quán)限或者訪問權(quán)限的子集授予其它主體。在類unix系統(tǒng)當(dāng)中，系統(tǒng)供應(yīng)owner/group/other的掌握方式，就是一種典型的自主存取掌握方式。（2）強(qiáng)制存取掌握在自主存取掌握當(dāng)中，由于管理不當(dāng)或者操作失誤，可能會(huì)引起非法的訪問，并且不能有效地防備特洛伊馬病毒的攻擊。在信息保密要求比較高的領(lǐng)域，人們提出了強(qiáng)制的存以掌握方式，給系統(tǒng)供應(yīng)一道不行逾越的訪問掌握限制。強(qiáng)制存取掌握主要通過平安級(jí)的方式實(shí)現(xiàn)。平安級(jí)含密級(jí)和部門集兩方面。密級(jí)又分為無密、隱秘、機(jī)密、絕密四級(jí)。系統(tǒng)中主體和客體根據(jù)肯定的規(guī)章被給予最高平安級(jí)和當(dāng)前平安級(jí)。系統(tǒng)主體的部門集表示主體可以涉及獵的信息范圍，系統(tǒng)客體的部門集表示該信息涉及的信息范圍。強(qiáng)制存取掌握抽象出三條訪問原理：①的主體的平安級(jí)高于客體，當(dāng)且僅當(dāng)主體的密級(jí)高于客體的密級(jí)，且主體的部門集包含客體的部門集；②主體對(duì)客體具有讀權(quán)限，當(dāng)且僅當(dāng)主體的平安級(jí)高于客體的平安級(jí)；③主體對(duì)客體具有寫權(quán)限，當(dāng)全僅當(dāng)主體的平安級(jí)低于或者等于客體的平安級(jí)。平安模型是系統(tǒng)平安特性的描述，是對(duì)平安策略的一種數(shù)學(xué)形式化的表示方法。一般的平安操作系統(tǒng)的設(shè)計(jì)方法，通常是先設(shè)計(jì)平安模型，對(duì)平安模型進(jìn)行分析，并且給出數(shù)學(xué)證明。平安模型的設(shè)計(jì)是討論平安操作系統(tǒng)的重要成果，可以對(duì)平安系統(tǒng)設(shè)計(jì)供應(yīng)結(jié)構(gòu)清楚、功能明確的指導(dǎo)。這里主要介紹blp平安模型。blp模型是人們對(duì)平安策略的形式化描述。它通過系統(tǒng)平安級(jí)的劃分來保證系統(tǒng)存取的合法性。blp模型定義了一系列的平安狀態(tài)和狀態(tài)轉(zhuǎn)換規(guī)章，假如保證系統(tǒng)啟動(dòng)時(shí)處于平安狀態(tài)的話，即可按平安轉(zhuǎn)換規(guī)章，在各個(gè)平安狀態(tài)之間轉(zhuǎn)換。下面介紹blp模型的詳細(xì)規(guī)章。系統(tǒng)的主體和客體均被給予肯定的平安級(jí)和部門集。主體平安級(jí)包含最高平安級(jí)的當(dāng)前平安級(jí)。主體對(duì)于客體的訪問方式包括：只讀、只寫、執(zhí)行、讀寫。blp模型定義了兩具平安特性，并且證明白只要系統(tǒng)遵循這兩個(gè)模型，便可認(rèn)為系統(tǒng)處于平安狀態(tài)并可在狀態(tài)之間進(jìn)行轉(zhuǎn)換，這兩個(gè)特性是簡潔平安特性和*特性。（1）簡潔平安特性（ss-property）假如一個(gè)主體對(duì)一個(gè)客體具有讀的權(quán)限，則客體的平安級(jí)不能比主體的最大平安級(jí)高。（2）*特性（*-property）主體對(duì)客體有只寫的權(quán)限，則客體的平安級(jí)至少和主體的最高平安級(jí)一樣高。主體對(duì)客體有讀權(quán)限，則客體的平安級(jí)不會(huì)比主體的當(dāng)前平安級(jí)高。主體對(duì)客體有讀寫權(quán)限，則客體平安級(jí)等于主體的當(dāng)前平安級(jí)。人們習(xí)慣上將簡潔平安特性看成限制向上讀，將*特性看成限制向下寫。blp在多年的討論當(dāng)中被認(rèn)為可以有效防止特洛伊馬病毒的攻擊，但是仍舊存在兩個(gè)問題：①系統(tǒng)具有動(dòng)態(tài)的信息處理（例如主體的平安級(jí)的變化）都是有可信進(jìn)程來實(shí)現(xiàn)的，但是blp模型并沒有對(duì)可信進(jìn)程進(jìn)行說明，可信進(jìn)程也不受blp模型的限制；②blp模型不能防止隱通道。2系統(tǒng)實(shí)現(xiàn)原理依據(jù)上面的分析，我們提出了一種本質(zhì)平安型，以進(jìn)程掌握為中心，集中式管理方式的平安掌握方法。下面結(jié)合linux操作系統(tǒng)說明詳細(xì)的實(shí)現(xiàn)原理，以wolf-linux來指具有這種掌握機(jī)制的平安操作系統(tǒng)。本質(zhì)平安是指一種建立在特別的硬件設(shè)備上（smart卡），具有特別的體系結(jié)構(gòu)，可對(duì)操作系統(tǒng)本身、進(jìn)程合法性和運(yùn)行權(quán)利進(jìn)行驗(yàn)證的平安機(jī)制。系統(tǒng)的平安掌握分為六部分：進(jìn)程管理器、平安服務(wù)器、文件系統(tǒng)伺服器、進(jìn)程通信伺服務(wù)器、網(wǎng)絡(luò)伺服器和審計(jì)模塊?？傮w結(jié)構(gòu)如圖1所示：進(jìn)程管理器、平安服務(wù)器wolf-linux平安掌握的核心部分，審計(jì)模塊負(fù)責(zé)對(duì)系統(tǒng)的平安性大事進(jìn)行記錄，其它部分是平安掌握的執(zhí)行模塊。從圖1中可以看出，sim（subscriberidentitymodule）卡處于系統(tǒng)的平安模塊中，保存系統(tǒng)的關(guān)鍵信息，集中式管理主要體現(xiàn)在進(jìn)程掌握器部分，平安判定和平安執(zhí)行的分別使得任何存取操作都不行能繞過平安掌握機(jī)制。系統(tǒng)中全部的平安大事都通過進(jìn)程掌握器來判定是否可行，平安執(zhí)行模塊負(fù)責(zé)在訪問操作發(fā)生時(shí)抽象主體和客體，提交訪問懇求并執(zhí)行訪問結(jié)果。下面主要介紹各個(gè)模塊的功能原理。（1）平安服務(wù)器和sim卡系統(tǒng)的平安服務(wù)器負(fù)責(zé)供應(yīng)系統(tǒng)支持的平安策略。在系統(tǒng)啟動(dòng)時(shí)，平安服務(wù)器初始化系統(tǒng)支持的平安策略。它的初始化過程中重要的一步是讀智能卡中的信息，驗(yàn)證系統(tǒng)的身份。平安服務(wù)器供應(yīng)的接口有三類：①與智能卡的接口。在智能卡中保存系統(tǒng)的關(guān)鍵信息，例如系統(tǒng)的有效使用時(shí)間、操作系統(tǒng)身份id。這個(gè)id號(hào)相當(dāng)規(guī)模識(shí)了一個(gè)合法的系統(tǒng)身份和系統(tǒng)用戶身份信息（在系統(tǒng)的平安特性部分還會(huì)爭論）。平安模塊通過智能卡的驅(qū)動(dòng)程序，負(fù)責(zé)與智能卡信息的平安交互，并供應(yīng)訪問智能卡的操作函數(shù)。②與進(jìn)程掌握器交互的接口。平安服務(wù)器只負(fù)責(zé)實(shí)現(xiàn)對(duì)平安策略的支持，而不管判定訪問操作是否合法。進(jìn)程掌握器在判定訪問是否合法時(shí)，使用平安服務(wù)器供應(yīng)規(guī)章。③供應(yīng)給系統(tǒng)管理的接口。由于在平安模塊當(dāng)中實(shí)現(xiàn)了策略的獨(dú)立性，所以平安模塊可以在實(shí)現(xiàn)對(duì)多種策略的支持。接口函數(shù)包括平安模塊的初始化接口、平安策略的注冊(cè)接口、平安策略的管理接口。通過這些接口函數(shù)可以實(shí)現(xiàn)對(duì)平安策略的配置，系統(tǒng)平安特性針對(duì)不同的工作環(huán)境，可以動(dòng)態(tài)變化。平安模塊的固